先講結論:法過了,但這是原則法,真正的規範在還沒生的子法
如果你只想記一句話:台灣的 AI 法已經上路,但它現在管不到你的日常營運,會管到你的是接下來兩年各部會陸續生出來的子法。
《人工智慧基本法》在 2025 年 12 月 23 日三讀通過,總統公布後於 2026 年 1 月 14 日正式施行,全文 20 條,中央主管機關是國科會。聽起來像件大事,實際上它是一部原則法(框架法):定方向、立原則、指定誰負責,本身不設專屬罰則。
所以別誤會。三讀通過不是終點,是發令槍。它啟動了一段大約兩年的法規調適期,把「AI 到底該怎麼管」這件事,分派給各個部會去寫細則。真正決定你公司明年能不能這樣用 AI 的,不是這 20 條,是那些還沒出生的子法。
我們的立場:這個階段最該做的,不是急著找律師簽一份「AI 合規聲明」,而是盯緊子法落地的速度與方向,並先做內部盤點。
基本法在講什麼(三讀、施行、20 條、國科會主管)
基本法的角色,比較像憲法之於一般法律:它不處理個案,而是宣示國家推動 AI 的基本態度——在創新發展與風險控管之間找平衡。
幾個關鍵事實,都可以點連結看到原文:
- 性質:原則性、宣示性為主,鼓勵創新與應用,同時要求兼顧安全與人權。
- 主管機關:國科會為中央主管機關,負責跨部會協調與整體政策(見全國法規資料庫全文)。
- 條號別背死:基本法仍在配套階段,具體授權條文請直接以全國法規資料庫最新版為準,不要憑二手整理記條號。
一句話總結它的性質:它給的是方向盤,不是罰單。
金三角分工:國科會 / 數發部風險分類 / 各目的事業主管機關
台灣 AI 治理不是一個機關說了算,而是三方分工。看懂這張分工圖,你才知道遇到問題要敲哪扇門。
- 國科會:中央主管機關,管總體政策方向與跨部會協調。
- 數發部:負責建立全國一致的AI 風險分類框架,也就是「什麼樣的 AI 應用算高風險」這把尺。
- 各目的事業主管機關:真正貼著產業的那一層。金融歸金管會、醫療歸衛福部、勞動歸勞動部、教育歸教育部——你的產業歸誰管,AI 的細則就由誰訂。
這套設計的邏輯是:AI 用在放款和用在批改作業,風險完全不同,不可能用同一套規則。想更完整理解這把尺怎麼分級,可參考我們整理的台灣 AI 基本法風險分類框架。
七大原則與高風險應用的要求
基本法明列政府推動 AI 應遵循的七大原則:永續發展與福祉、人類自主、隱私保護與資料治理、資安與安全、透明與可解釋、公平與不歧視、問責。
這七項現在看像口號,但它們是未來子法的骨架——每一條原則,之後都會被某個部會翻譯成具體要求。
比較實際、企業要留意的是高風險應用:對於被認定為高風險的 AI 應用,政府方向是要求適當的資訊揭露、標示或警語,並建立救濟機制;高風險的認定,由中央目的事業主管機關會商數發部進行。換句話說,「你的 AI 算不算高風險、要不要貼警語」,答案會落在你所屬產業的主管機關手上。
這裡也提醒一個常見誤解:七大原則不是拿來罰你的,它是政府自我要求與立法方向的宣示;會變成硬性義務的,是後續各部會依這些原則訂出的細則。想橫向比較國外做法,可對照美國州級的伊利諾 SB 315——它走的是另一條、帶明確義務的路線。
子法時程與四個優先部會
這是整篇最該記住的時間點。
依官方規劃,相關子法與法規命令要在施行後二年內完成,也就是大約 2028 年 1 月前。而第一波動起來的,是四個優先部會:
| 部會 | 對應領域 | 為什麼優先 |
|---|---|---|
| 勞動部 | 職場、招募、勞動權益 | AI 用於招募與績效,涉及歧視風險 |
| 金管會 | 金融、放款、投顧 | 演算法決策直接影響消費者權益 |
| 衛福部 | 醫療、健康資料 | 高敏感資料 + 高風險決策 |
| 教育部 | 校園、學習指引 | 涉及未成年人與學習公平 |
我們的判讀:對企業來說,真正的「開跑點」不是 2026-01-14,而是你所屬產業的那份子法或指引公告的那一天。在那之前,多數要求都還是柔性的、原則性的。與其焦慮,不如把這兩年當成緩衝期,先把家裡整理好。
企業現在就能做的自我盤點
法規還在路上,但盤點不用等。這件事免費、現在就能做,而且做完你會踏實很多。先問自己這幾題:
- 盤點清單:公司內部有哪些流程實際用到了 AI?(客服、招募、行銷文案、風控、程式碼生成……)逐一列出來。
- 標記高風險:其中有沒有碰到「影響個人重大權益」的決策?例如錄取與否、放款與否、醫療建議。這些最可能被劃進高風險。
- 對照七大原則:特別是透明、可解釋、問責——如果 AI 做了決定,你能不能說清楚它為什麼這樣決定、出錯時誰負責?
- 檢查資料源頭:訓練或提示所用的資料,有沒有個資或著作權問題?這一塊現行的個資法、著作權法現在就已經在管,不必等 AI 子法。相關界線可參考我們的AI 著作權實務 FAQ與AI 倫理與法規。
敢說不建議:不建議現在就花大錢導入一套「全套 AI 合規系統」,或簽一份看起來很完整、實際上沒有子法可對照的合規文件。方向未定、先做過度投資,是這個階段最容易踩的坑。 先盤點、先留紀錄、先指定一個人盯法規進度——這三件低成本的事,遠比任何昂貴的合規套裝划算。
參考來源
- 中央社:立法院三讀通過《人工智慧基本法》全文 20 條(2025-12-23)
- 全國法規資料庫:人工智慧基本法(施行版全文)
- 理律法律事務所:AI 基本法 2026-01-14 施行、國科會為中央主管機關
- 數位發展部:立法院三讀通過《人工智慧基本法》(七大原則、高風險標示)
- 數位發展部:AI 治理與風險分類框架
- 中央社:數發部風險分類框架與四優先部會(勞動部、金管會、衛福部、教育部)
常見問題
《人工智慧基本法》施行後,企業馬上就要遵守什麼義務嗎?
大多不用「馬上」。基本法是原則法,本身不帶專屬罰則,也很少直接對企業設下可執行的硬性義務。真正的義務會落在後續各部會的子法與指引裡,預計施行後二年內(約 2028-01 前)陸續公告。真正的開跑點,是你所屬產業那份子法公告的那一天。
基本法沒有罰則,是不是代表 AI 出包也不用負責?
不是。基本法沒有專屬罰則,不代表沒有法律責任。AI 造成的損害、個資外洩、著作權侵權、詐欺等,現行的民法、刑法、個資法、著作權法照樣適用,只是換一條既有的路走。沒罰則指的是「這部法本身」,不是「AI 免責」。
怎麼知道我的 AI 應用算不算「高風險」?
高風險的認定尺規,由數發部建立全國一致的風險分類框架,再由你所屬產業的中央目的事業主管機關會商數發部認定。經驗法則是:若 AI 參與了「影響個人重大權益」的決策(例如錄取、放款、醫療建議),被劃進高風險的機率就高,並可能被要求資訊揭露、標示或警語。最終仍以主管機關公告為準。
金三角分工是什麼?出了問題我該找哪個機關?
金三角指國科會、數發部與各目的事業主管機關。國科會管總體政策方向,數發部負責風險分類框架這把尺,而真正貼著你產業的是目的事業主管機關——金融找金管會、醫療找衛福部、勞動找勞動部、教育找教育部。實務上,你的合規問題八成要敲的是你產業的主管機關那扇門。